Shadow IT: equilibrar els riscos i els beneficis als quals s'enfronten totes les organitzacions

abstracte

Els informes d'autoservei són la terra promesa del dia. Tant si es tracta de Tableau, Cognos Analytics, Qlik Sense o una altra eina d'anàlisi, sembla que tots els proveïdors promouen el descobriment i l'anàlisi de dades d'autoservei. Amb l'autoservei arriba Shadow IT. Ho postulem tots les organitzacions pateixen Shadow IT a l'ombra, en un grau o un altre. La solució és posar-hi llum, gestionar els riscos i maximitzar els beneficis. 

Descripció

En aquest llibre blanc parlarem de l'evolució dels informes i dels secrets bruts dels quals ningú parla. Les diferents eines requereixen diferents processos. De vegades fins i tot ideologies.  Ideologies són "les afirmacions, teories i objectius integrats que constitueixen un programa sociopolític". No ho aconseguirem sociopolític però no se m'acut una paraula per transmetre un programa empresarial i informàtic. Consideraria que la base de dades Kimball-Inmon divideix un debat ideològic d'una manera similar. En altres paraules, el vostre enfocament, o la vostra manera de pensar, impulsa les vostres accions.  

Fons

Quan el PC IBM 5100 era l'última generació, 10,000 dòlars us donarien una pantalla de 5 polzades amb un teclat integrat, 16K de RAM i una unitat de cinta amb un pes de poc més de 50 lliures. Adequat per a la comptabilitat, es connectaria a una matriu de discs independent de la mida d'un petit armari d'arxiu. Qualsevol informàtica seriosa encara es feia mitjançant terminals en temps compartit de mainframe. (imatge)

"Operadors” va gestionar els ordinadors encadenats i controlava l'accés al món exterior. Els equips d'operadors, o administradors de sistemes i devops posteriors, van créixer per donar suport a la tecnologia en constant creixement. La tecnologia era gran. Els equips que els gestionaven eren més grans.

La gestió empresarial i els informes dirigits per TI han estat la norma des del començament de l'era de la informàtica. Aquesta ideologia es va construir a partir de l'enfocament pesat i conservador que "The Company" gestiona els recursos i us proporcionarà el que necessiteu. Si necessiteu un informe personalitzat o un informe en un període de temps fora de cicle, heu d'enviar una sol·licitud.  

El procés va ser lent. No hi havia innovació. L'àgil no existia. I, com l'antic grup clerical, el departament d'informàtica es considerava sobrecàrrega.

Malgrat els inconvenients, es va fer per una raó. Hi havia alguns avantatges de fer-ho d'aquesta manera. Hi havia processos en marxa que tothom seguia. Els formularis es van omplir per triplicat i es van encaminar a través del correu interoficina. Les sol·licituds de dades de tota l'organització es van ordenar, remenar, prioritzar i actuar de manera previsible.  

Hi havia un únic magatzem de dades i una única eina d'informes a tota l'empresa. Els informes enllaunats creats per un equip central van proporcionar a versió única de la veritat. Si els números estaven equivocats, tothom treballava amb els mateixos números equivocats. Hi ha alguna cosa a dir per a la coherència interna.

La gestió d'aquesta manera de fer negoci era previsible. Era pressupostable.  

Llavors, un dia, fa 15 o 20 anys, tot això va esclatar. Hi va haver una revolució. La potència de càlcul es va ampliar.  Llei de Moore – “la potència de processament dels ordinadors es duplicarà cada dos anys” – es va obeir. Els ordinadors eren més petits i omnipresents.   

Més empreses van començar a prendre decisions basades en dades en lloc dels instints que havien utilitzat durant tants anys. Es van adonar que els líders de la seva indústria estaven prenent decisions basades en dades històriques. Aviat les dades es van convertir gairebé en temps real. Finalment, l'informe es va convertir en predictiu. Al principi va ser rudimentari, però va ser l'inici d'utilitzar l'anàlisi per impulsar les decisions empresarials.

Hi va haver un canvi per contractar més analistes de dades i científics de dades per ajudar la gestió a entendre el mercat i prendre millors decisions. Però va passar una cosa curiosa. L'equip d'informàtica central no va seguir la mateixa tendència que els ordinadors personals en reducció. No es va fer immediatament més eficient i més petit.

Tanmateix, com a resposta a la tecnologia descentralitzada, l'equip informàtic també va començar a descentralitzar-se més. O, almenys, els rols que tradicionalment havien format part de les TI, ara formaven part de les unitats de negoci. Els analistes que entenien les dades i el negoci estaven integrats a cada departament. Els directius van començar a demanar més informació als seus analistes. Els analistes, al seu torn, van dir: "Hauré d'omplir les sol·licituds de dades per triplicat. El més aviat possible serà aprovat a la reunió de priorització de dades d'aquest mes. Aleshores, el TI pot trigar una o dues setmanes a processar la nostra sol·licitud de dades, depenent de la seva càrrega de treball. PERÒ,... si només pogués accedir al magatzem de dades, podria fer-te una consulta aquesta tarda". I així va.

El canvi a l'autoservei havia començat. El departament informàtic va alleujar les claus de les dades. Els venedors d'informes i anàlisis van començar a adoptar la nova filosofia. Era un nou paradigma. Els usuaris van trobar noves eines per accedir a les dades. Van descobrir que podrien evitar la burocràcia si només tinguessin accés a les dades. Aleshores, podrien realitzar la seva pròpia anàlisi i reduir el temps de resposta executant les seves pròpies consultes.

Beneficis dels informes i anàlisis d'autoservei

Proporcionar accés directe a les dades a les masses i informes d'autoservei va resoldre una sèrie de problemes,

1. Centrat.  Les eines dissenyades específicament a les quals eren fàcilment accessibles van substituir una única eina d'anàlisi i informes heretats, datada i polivalent, per donar suport a tots els usuaris i respondre totes les preguntes. 
2. Àgil.  Anteriorment, les unitats de negoci estaven obstaculitzades per la baixa productivitat. L'accés només a les dades del mes passat va provocar la impossibilitat de treballar de manera àgil. L'obertura del magatzem de dades va escurçar el procés i va permetre que les persones més properes al negoci funcionin més ràpidament, descobrissin tendències importants i prenguessin decisions més ràpidament. Per tant, augmenta la velocitat i el valor de les dades.
3. Empoderat. En lloc que els usuaris hagin de confiar en l'experiència i la disponibilitat d'altres per prendre decisions per ells, se'ls va donar els recursos, l'autoritat, l'oportunitat i la motivació per fer la seva feina. Així, els usuaris es van empoderar mitjançant una eina d'autoservei que els podia alliberar de la dependència d'altres persones de l'organització tant per a l'accés a les dades com per a la creació de l'anàlisi en si.

Reptes de l'autoservei d'informes i anàlisis

No obstant això, per a cada problema resolt amb l'informe d'autoservei, se'n creaven diversos més. L'equip informàtic ja no gestionava de manera centralitzada les eines d'informes i d'anàlisi. Així, altres coses que no eren problemes quan un únic equip gestionava els informes es van fer més difícils. Coses com l'assegurament de la qualitat, el control de versions, la documentació i els processos com la gestió de llançaments o el desplegament es van cuidar per si mateixos quan eren gestionats per un petit equip. Allà on hi havia estàndards corporatius per als informes i la gestió de dades, ja no es podien fer complir. Hi havia poca visió o visibilitat del que passava fora de les TI. La gestió del canvi era inexistent. 

Aquestes instàncies controlades per departaments funcionaven com a economia submergida que fa referència a negocis que es produeixen "sota el radar", això és Shadow IT. La Viquipèdia defineix Shadow IT com "tecnologia de la informació Sistemes (TI) desplegats per departaments diferents del departament central d'informàtica, per solucionar les deficiències dels sistemes d'informació centrals". Alguns defineixen ShadowIT més broadNomés incloure qualsevol projecte, programa, procés o sistema que estigui fora del control d'IT o infosec.

Va! Afluixa. Si Shadow IT és un projecte, programa, procés o sistema que TI no controla, llavors és més generalitzat del que pensàvem. És a tot arreu. Per dir-ho més clar, cada L'organització té Shadow IT tant si ho reconeixen com si no.  Només es redueix a una qüestió de grau. L'èxit d'una organització a l'hora de tractar amb Shadow IT depèn en gran mesura de com abordin alguns reptes clau.

• Seguretat. A la part superior de la llista de problemes creats per Shadow IT hi ha riscos de seguretat. Penseu en macros. Penseu en fulls de càlcul amb PMI i PHI enviats per correu electrònic fora de l'organització.
• Major risc de pèrdua de dades.  De nou, a causa de les inconsistències en la implementació o els processos, cada implementació individual pot ser diferent. Això fa que sigui difícil demostrar que es segueixen les pràctiques comercials establertes. A més, dificulta fins i tot complir amb simples sol·licituds d'auditoria d'ús i accés.
• Problemes de compliment.  En relació amb els problemes d'auditoria, també hi ha una major probabilitat d'accés a dades i fluxos de dades, cosa que dificulta el compliment de regulacions com ara Llei Sarbanes-Oxley, GAAP (Principis comptables generalment acceptats), HIPAA (Llei de portabilitat i responsabilitat de l'assegurança mèdica) i altres
• Ineficiències en l'accés a les dades.  Tot i que un dels problemes que intenta resoldre la TI distribuïda és la velocitat de les dades, les conseqüències inesperades inclouen costos ocults per als treballadors no informàtics en finances, màrqueting i recursos humans, per exemple, que dediquen el seu temps a debatre la validesa de les dades, a conciliar-se amb els números del seu veí i intentant gestionar el programari des del seient dels pantalons.
• Ineficiències en procés. Quan la tecnologia és adoptada per múltiples unitats de negoci de manera independent, també ho són els processos relacionats amb el seu ús i desplegament. Alguns poden ser eficients. Altres no tant.  
• Lògica de negoci i definicions inconsistents. No hi ha un gatekeeper per establir estàndards, és probable que es desenvolupin inconsistències a causa de la manca de proves i control de versions. Sense un enfocament unificat de les dades o metadades, l'empresa ja no té una única versió de la veritat. Els departaments poden prendre decisions empresarials fàcilment basant-se en dades defectuoses o incompletes.
• Falta d'alineació amb la visió corporativa.  Shadow IT sovint limita la realització del ROI. Els sistemes corporatius existents per negociar contractes amb proveïdors i acords a gran escala de vegades es salten. Això pot provocar un excés de llicències i sistemes duplicats. A més, interromp la consecució dels objectius organitzatius i els plans estratègics de TI.

La conclusió és que les bones intencions d'adoptar els informes d'autoservei van tenir conseqüències no desitjades. Els reptes es poden resumir en tres categories: governança, seguretat i alineació empresarial.

No us equivoqueu, les empreses necessiten usuaris empoderats que aprofitin les dades en temps real amb eines modernes. També necessiten la disciplina de gestió de canvis, gestió de versions i control de versions. Aleshores, els informes d'autoservei/BI són un engany? Pots trobar un equilibri entre autonomia i govern? Pots governar allò que no pots veure?

La Solució

L'espectre d'autoservei de BI 

Una ombra ja no és una ombra si hi poses llum. De la mateixa manera, Shadow IT ja no s'ha de témer si surt a la superfície. En exposar Shadow IT, podeu aprofitar els avantatges dels informes d'autoservei que exigeixen els usuaris empresarials, alhora que reduïu el risc mitjançant la governança. Governar Shadow IT sembla un oxímoron, però és, en realitat, un enfocament equilibrat per portar la supervisió a l'autoservei.

M'agrada aquest analogia de l'autor (prestat de Kimball) d'autoservei BI/informes comparats amb un bufet de restaurant. El bufet és d'autoservei en el sentit que pots aconseguir el que vulguis i torna-la a la teva taula. Això no vol dir que aneu a la cuina i poseu el vostre bistec a la graella. Encara necessiteu aquest xef i el seu equip de cuina. Passa el mateix amb els informes d'autoservei/BI, sempre necessitareu l'equip informàtic per preparar el bufet de dades mitjançant l'extracció, transformació, emmagatzematge, seguretat, modelització, consulta i govern.  

Un bufet de tot el que puguis menjar pot ser una analogia massa simple. El que hem observat és que hi ha diferents graus de participació de l'equip de cuina del restaurant. Amb alguns, com el bufet tradicional, preparen el menjar a l'esquena i distribueixen l'esbarjo quan està llest per menjar. Tot el que has de fer és carregar el teu plat i tornar-lo a la taula. Aquest és el Las Vegas MGM Grand Buffet o el model de negoci Golden Corral. A l'altre extrem de l'espectre, hi ha empreses com Home Chef, Blue Apron i Hello Fresh, que ofereixen una recepta i els ingredients a la teva porta. Requereix algun muntatge. Fan la compra i la planificació dels àpats. Tu fas la resta.

En algun punt intermedi, potser, hi ha llocs com Mongolian Grill que han preparat els ingredients però els han posat perquè els seleccioneu i després doneu el vostre plat de carn crua i verdures al xef perquè el posin al foc. En aquest cas, l'èxit del resultat final depèn (almenys en part) de que seleccioneu una barreja d'ingredients i salses que vagin bé. També depèn de la preparació i la qualitat dels aliments que has de triar, així com de l'habilitat del xef que de vegades hi aporta els seus propis tocs.

L'espectre d'autoservei de BI

L'anàlisi d'autoservei és molt semblant. Les organitzacions amb anàlisi d'autoservei solen situar-se en algun lloc de l'espectre. En un extrem de l'espectre hi ha organitzacions, com el MGM Grand Buffet, on l'equip informàtic encara fa totes les dades i la preparació de metadades, selecciona l'eina d'anàlisi i informes a tota l'empresa i la presenta a l'usuari final. Tot el que ha de fer l'usuari final és seleccionar els elements de dades que vol veure i executar l'informe. L'únic autoservei d'aquest model és que l'equip informàtic encara no ha creat l'informe. La filosofia de les organitzacions que utilitzen Cognos Analytics recau en aquest extrem de l'espectre.

Les organitzacions que s'assemblen més als kits de menjar que s'envien a la vostra porta solen oferir als seus usuaris finals un "kit de dades" que inclou les dades que necessiten i l'elecció d'eines amb les quals hi poden accedir. Aquest model requereix que l'usuari entengui millor tant les dades com l'eina per obtenir les respostes que necessita. Segons la nostra experiència, les empreses que utilitzen Qlik Sense i Tableau solen entrar en aquesta categoria.

Les eines empresarials com Power BI s'assemblen més a Mongolian Grill, en algun lloc del mig.  

Tot i que podem generalitzar i situar organitzacions que utilitzen diverses eines d'anàlisi en diferents punts del nostre "Espectre d'autoservei de BI", la realitat és que la posició pot canviar per diversos factors: l'empresa pot adoptar noves tecnologies, la competència dels usuaris pot augmentar, la gestió pot dictar un enfocament, o simplement l'empresa pot evolucionar cap a un model d'autoservei més obert amb més llibertat per als consumidors de dades. De fet, la posició a l'espectre fins i tot pot variar entre les unitats de negoci de la mateixa organització.  

L'evolució de l'analítica

Amb el canvi cap a l'autoservei i a mesura que les organitzacions es mouen cap a la dreta al BI Buffet Spectrum, els centres d'excel·lència dictatorials tradicionals s'han substituït per comunitats de pràctiques col·laboratives. Les TI poden participar en aquests equips matricials que ajuden a socialitzar les millors pràctiques entre els equips de lliurament. Això permet als equips de desenvolupament del costat empresarial mantenir una certa autonomia mentre treballen dins dels límits corporatius de govern i arquitectura.

S'ha de mantenir vigilant. És possible que els usuaris que creen els seus propis informes (i, en alguns casos, models) no siguin conscients dels riscos de seguretat de les dades. L'única manera d'evitar possibles filtracions de seguretat és cercar de manera proactiva contingut nou i avaluar-ne el compliment.

L'èxit de Shadow IT governat també es refereix als processos establerts per garantir que es compleixin les polítiques de seguretat i privadesa. 

Paradoxes de l'autoservei 

L'anàlisi d'autoservei governat concilia les forces polars que enfronten la llibertat amb el control. Aquesta dinàmica es desenvolupa en moltes àrees del negoci i la tecnologia: velocitat versus estàndards; innovació versus operacions; agilitat versus arquitectura; i necessitats departamentals versus interessos corporatius.

-Wayne Erickson

Eines per gestionar Shadow IT

L'equilibri entre riscos i beneficis és clau per desenvolupar una política de TI a l'ombra sostenible. Aprofitar Shadow IT per descobrir nous processos i eines que podrien permetre a tots els empleats sobresortir en les seves funcions és només una pràctica empresarial intel·ligent. Les eines amb la capacitat d'integrar-se amb múltiples sistemes ofereixen a les empreses una solució que pot satisfer tant la TI com el negoci.

Els riscos i els reptes plantejats per Shadow IT es poden mitigar en gran mesura mitjançant la implementació de processos de govern per garantir que les dades de qualitat estiguin disponibles per a tots els que les necessitin mitjançant l'accés d'autoservei.

Preguntes clau 

Preguntes clau que la seguretat informàtica hauria de poder respondre relacionades amb la visibilitat i el control informàtics a l'ombra. Si teniu sistemes o processos establerts per respondre aquestes preguntes, hauríeu de poder passar la secció Shadow IT d'una auditoria de seguretat:

1. Teniu una política que cobreixi Shadow IT?
2. Podeu enumerar fàcilment totes les aplicacions que s'utilitzen a la vostra organització? Punts de bonificació si teniu informació sobre la versió i el nivell de correcció.
3. Saps qui va modificar els actius analítics en producció?
4. Saps qui utilitza aplicacions Shadow IT?
5. Saps quan es va modificar per última vegada el contingut en producció?
6. Podeu tornar fàcilment a una versió anterior si hi ha defectes a la versió de producció?
7. És capaç de recuperar fitxers individuals fàcilment en cas de desastre?
8. Quin procés feu servir per desmantellar els artefactes?
9. Pots demostrar que només els usuaris aprovats van accedir al sistema i els fitxers promocionats?
10. Si descobreixes un defecte en els teus números, com saps quan es va introduir (i per qui)?

Conclusió

Shadow IT en les seves múltiples formes ha arribat per quedar-se. Hem de posar-hi llum i exposar-lo perquè puguem gestionar els riscos tot aprofitant els seus beneficis. Pot fer que els empleats siguin més productius i les empreses més innovadores. Tanmateix, l'entusiasme pels beneficis s'hauria de moderar per la seguretat, el compliment i la governança.   

referències

Com tenir èxit amb l'anàlisi d'autoservei equilibrant l'apoderament i el govern

Definició d'ideologia, Merriam-Webster

Definició d'economia a l'ombra, Notícies empresarials de mercat

Shadow IT, Viquipèdia 

Shadow IT: la perspectiva del CIO

Versió única de la veritat, Viquipèdia

Tenir èxit amb l'anàlisi d'autoservei: verifiqueu els nous informes

L'evolució del model operatiu informàtic

L'engany de BI d'autoservei

Què és Shadow IT?, McAfee

Què fer amb Shadow IT